Wäre die Cyberkriminalität ein Land, so wäre sie nach den USA und China die drittgrösste Volkswirtschaft der Welt. Auf unvorstellbare 8000 Milliarden Dollar beläuft sich der Schaden, den die globale Internetkriminalität im laufenden Jahr verursachen wird. So lautet zumindest die Schätzung des US-Marktforschungsunternehmens Cybersecurity Ventures. Und der Betrag soll weiter zunehmen – um jährlich rund 15 Prozent.
Wer soll für diese Unsummen aufkommen? Wer kann dies überhaupt? Bei diesen Fragen kommt die Versicherungsbranche ins Spiel. Immer mehr Anbieter verkaufen Cyberversicherungen sowohl an Firmen als auch an Private. In der Schweiz sind die grossen Versicherer bereits aufgesprungen: Die Swiss Life (via Partnerfirmen), AXA, Helvetia, Zurich, Baloise, Mobiliar, Allianz und Generali haben alle zumindest ein Angebot entweder für Unternehmen oder für Private. Wie viele Cyberpolicen sie abgeschlossen haben, gibt auf Anfrage keine der Versicherungen bekannt.
Die Branche wittert lukrative Geschäfte in einem schnell wachsenden Markt. Doch zugleich sehen sich die Versicherer mit Risiken konfrontiert, die schwer kalkulierbar sind und leicht ausser Kontrolle geraten können. Offenbar haben die Versicherungen die Anzahl an Angriffen in den vergangenen Jahren unterschätzt. Laut dem deutschen Branchenverband hat man 2022 mit Cyberpolicen Verluste eingefahren. Heisst: Die Schadens- und Verwaltungskosten lagen höher als die Prämieneinnahmen.
Auch in der Schweiz sind Cyberversicherungen momentan nicht wirklich ein profitables Business. Gabor Jaimes, der beim Schweizerischen Versicherungsverband (SVV) unter anderem für den Bereich Cyberversicherungen zuständig ist, sagt gegenüber der «Schweiz am Wochenende»: «Ein grosser Teil der Prämieneinnahmen fliesst wieder in Schadenszahlungen.»
Je nach Ausmass eines Cyberangriffs sind die möglichen Schäden so gross, dass sie auch die Versicherer in ihrer Existenz bedrohen würden. Falls ein grosser Dienstleister oder Cloud-Provider wie Microsoft betroffen ist, wirkt sich das innert kürzester Zeit auf Zehntausende bis Millionen von Unternehmen aus. «Ein solcher globaler Schaden kann schnell Dutzende von Milliarden Franken betragen – und die Kapazität von Versicherern und Rückversicherern übersteigen», erklärt Jaimes.
Zudem würden die Cyberrisiken mit dem technischen Fortschritt immer grösser: Mit künstlicher Intelligenz würden die Angriffe ausgefeilter, mit Quantencomputern könnten die Hacker dereinst enorme Rechenleistungen nutzen. Darum müsse die Industrie «sehr vorsichtig» sein, so der Cyberexperte.
Was können die Versicherer tun, um die Risiken in den Griff zu bekommen? Laut Jaimes können sie etwa die Zahl an Versicherten oder die abgedeckten Schäden limitieren. Momentan fehle es am Markt teilweise an Versicherungskapazitäten. Auch eine Diversifikation bei der Kundschaft und den Branchen senke die Wahrscheinlichkeit, dass alle gleichzeitig von einem Angriff betroffen sind.
Trotz der Risiken sieht der SVV-Experte auch grosse Chancen für die Branche – und den Wirtschaftsstandort Schweiz. Gemäss Erhebungen des Verbandes ist nur knapp jede zehnte Schweizer Firma gegen Cyberangriffe versichert. «Da gibt es noch viel Luft nach oben», sagt Jaimes. Die Versicherung schütze Firmen vor einem «möglichen finanziellen Ruin» durch einen Hackerangriff.
Oft deckt die Police nicht nur einen Schaden ab, sondern beinhaltet auch eine Unterstützung der Firmen im Krisenmanagement – etwa bei der Wiederherstellung von Systemen, bei der Kommunikation oder in juristischen Fragen. Schon der Abschluss einer Police wie auch die Leistungen sind jedoch oft an Bedingungen geknüpft: So müssen die Firmen gewisse Sicherheitsstandards erfüllen und Schutzmassnahmen vorweisen, damit die Versicherung zahlt.
Jaimes geht denn auch davon aus, dass sich künftig mehr Firmen gegen Cyberbedrohungen versichern wollen. Eine Schätzung für die Schweiz kann er zwar nicht abgeben. Doch gemäss globalen Prognosen rechnet Jaimes damit, dass sich das Prämienvolumen bei den Cyberversicherungen bis 2025 verdoppeln und bis 2030 sogar vervierfachen wird. Eine ähnliche Entwicklung sei auch in der EU, England und den USA zu beobachten. Hier müsse die Schweiz am Ball bleiben: «Ein hoher Grad an Cybersicherheit und -resilienz ist ein grosser Vorteil für den Wirtschaftsstandort.»
Doch fördern Cyberversicherungen wirklich die digitale Widerstandskraft – oder tragen sie sogar zur Finanzierung der kriminellen Aktivitäten bei? Diese Frage wird kontrovers diskutiert. Denn momentan machen Hackergruppen wie Play gute Geschäfte mit sogenannten Ransomware-Angriffen. Dabei werden Daten gestohlen und verschlüsselt. Anschliessend fordern die Hacker ein Lösegeld, um die Daten wieder zu entschlüsseln - oder um deren Veröffentlichung im Darknet zu verhindern.
Nun bieten viele Versicherungen auch eine Option, die in gewissen Fällen sogar Lösegeldzahlungen einschliesst - etwa die Allianz, AXA, Helvetia, Baloise und Mobiliar, wie die Versicherungen auf Anfrage der «Schweiz am Wochenende» bestätigen. Kritische Stimmen monieren, dies mache die versicherten Firmen zu attraktiven Zielen und führe zu mehr Zahlungen, die wiederum in kriminelle Machenschaften fliessen würden.
Darauf entgegnet SVV-Experte Gabor Jaimes: «Ich verstehe, dass Lösegeldzahlungen einen gewissen Anreiz bieten, wieder anzugreifen.» Es gelte daher zu beachten, dass man eine Zahlung nur als allerletztes Mittel zur Rettung einer Firma in Betracht ziehe. So berichten die Helvetia und die AXA, sie hätten noch nie eine Lösegeldzahlung geleistet. Die Allianz, Baloise und Mobiliar gaben dazu keine Auskunft. Die Zurich Versicherung reagierte nicht auf die Anfrage.
Im Gegensatz zu den USA sind Lösegeldzahlungen hierzulande nicht grundsätzlich verboten. Dennoch stellen sich verschiedene rechtliche Fragen. Die Gelder werden meist in Kryptowährungen verlangt. Da den Firmen bewusst ist, dass die Gelder an eine kriminelle Organisation fliessen, drohen Konflikte mit den Gesetzen über Terrorismusfinanzierung und Geldwäscherei.
Den erreicht man aber nicht mit einer Versicherung…
Sondern indem man das Geld statt in eine Versicherung in Technologie, Personal, Schulung und Sensibilisierung steckt…